Controles de seguridad y cumplimiento

Tellma se apoya en un proveedor de infraestructura que dispone de certificaciones y controles alineados con HIPAA, SOC 2 y GDPR. A continuación se resumen los principales controles técnicos y organizativos que aplican a la infraestructura sobre la que se ejecuta Tellma.

Seguridad de la infraestructura

• Autenticación única en bases de datos de producción: el acceso a las bases de datos de producción requiere mecanismos de autenticación seguros y únicos (por ejemplo, claves SSH autorizadas).
• Acceso a claves de cifrado restringido: solo el personal autorizado con necesidad de negocio puede acceder a las claves de cifrado.
• Autenticación única para sistemas y aplicaciones: el acceso a sistemas y aplicaciones requiere usuario y contraseña únicos o claves SSH autorizadas.
• Acceso a la aplicación de producción restringido: el acceso a sistemas en producción está limitado a cuentas autorizadas.
• Procedimientos de control de acceso establecidos: existen políticas que documentan cómo se añaden, modifican y eliminan usuarios.
• Acceso a bases de datos de producción restringido: solo usuarios autorizados con necesidad de negocio pueden acceder de forma privilegiada a las bases de datos.
• Acceso al firewall restringido: el acceso privilegiado a los firewalls está limitado a usuarios autorizados.
• Acceso al sistema operativo de producción restringido: el acceso privilegiado al sistema operativo solo se concede a usuarios con necesidad de negocio.
• Acceso a la red de producción restringido: el acceso privilegiado a la red de producción se limita a personal autorizado.
• Revocación de accesos en bajas: los accesos de empleados que causan baja se revocan siguiendo checklists y plazos definidos (SLAs).
• Autenticación única a la red de producción: la red de producción requiere credenciales únicas o claves SSH autorizadas.
• Acceso remoto con MFA: los sistemas de producción solo pueden ser accedidos remotamente mediante métodos de autenticación multifactor válidos.
• Acceso remoto cifrado: el acceso remoto a sistemas de producción se realiza únicamente a través de conexiones cifradas aprobadas.
• Sistema de detección de intrusiones: se utiliza un IDS para monitorizar la red de forma continua y detectar posibles brechas de seguridad.
• Segmentación de red: la red está segmentada para prevenir accesos no autorizados a datos de clientes.
• Firewalls revisados periódicamente: las reglas de los firewalls se revisan al menos una vez al año y los cambios necesarios se ejecutan y siguen.
• Firewalls desplegados: se utilizan firewalls configurados para evitar accesos no autorizados.
• Estándares de endurecimiento documentados: existen estándares de hardening de red y sistemas basados en mejores prácticas, revisados al menos anualmente.
• Infraestructura mantenida y parcheada: los servidores que soportan el servicio se parchean regularmente y como resultado de vulnerabilidades identificadas para reducir riesgos de seguridad.

Seguridad organizativa

• Procedimientos de destrucción de activos: los soportes electrónicos con información confidencial se destruyen o purgan siguiendo mejores prácticas y se emiten certificados de destrucción.
• Tecnología anti‑malware: se despliega tecnología anti‑malware en entornos susceptibles a ataques, con actualizaciones y registros periódicos.
• Verificación de antecedentes: se realizan comprobaciones de antecedentes a los nuevos empleados.
• Código de conducta para contratistas: los contratos con proveedores y contratistas incluyen un código de conducta o referencia al código de conducta de la compañía.
• Código de conducta para empleados: los empleados aceptan un código de conducta en la incorporación y se aplica un régimen disciplinario en caso de incumplimiento.
• Acuerdos de confidencialidad con contratistas: los contratistas firman acuerdos de confidencialidad en el inicio de la relación.
• Acuerdos de confidencialidad con empleados: los empleados firman acuerdos de confidencialidad durante el proceso de onboarding.
• Evaluaciones de desempeño: los responsables realizan evaluaciones de desempeño de sus equipos al menos una vez al año.
• Procedimientos para visitantes: los visitantes deben registrarse, llevar acreditación visible y ser acompañados por personal autorizado en áreas seguras.
• Formación en seguridad: la plantilla completa una formación de concienciación en seguridad en los primeros 30 días y al menos una vez al año.

Seguridad del producto

• Cifrado de datos: los almacenes de datos que contienen información sensible de clientes están cifrados en reposo.
• Autoevaluaciones de control: se realizan autoevaluaciones de controles al menos anualmente para verificar su funcionamiento y se aplican acciones correctivas dentro de los SLAs comprometidos.
• Test de penetración: se llevan a cabo pruebas de penetración al menos una vez al año, se define un plan de remediación y las vulnerabilidades se corrigen según los SLAs.
• Cifrado en tránsito: se emplean protocolos seguros para cifrar datos confidenciales cuando se transmiten por redes públicas.
• Procedimientos de monitorización y vulnerabilidades: las políticas formales describen los requisitos de gestión de vulnerabilidades y de monitorización de sistemas para los equipos de IT / Ingeniería.

Procedimientos internos de seguridad

• Planes de Continuidad y Recuperación ante Desastres: existen planes de continuidad de negocio y DR que incluyen planes de comunicación para mantener la seguridad de la información ante la indisponibilidad de personal clave.
• Pruebas de continuidad y DR: los planes de continuidad y DR se prueban al menos una vez al año.
• Ciber‑seguro: la empresa mantiene un seguro de ciber‑riesgo para mitigar el impacto financiero de incidentes de seguridad.
• Gestión de configuraciones: existe un procedimiento de gestión de configuración para desplegar configuraciones consistentes en todos los entornos.
• Ciclo de vida de desarrollo (SDLC): se utiliza un SDLC formal para el desarrollo, adquisición, cambios (incluidos cambios de emergencia) y mantenimiento de sistemas.
• Descripción del sistema SOC 2: se mantiene una descripción completa del sistema que sirve de base para la sección de descripción del informe SOC 2.
• Política de whistleblower: existe una política de denuncia interna y un canal anónimo para reportar potenciales problemas o fraudes.
• Supervisión por parte del consejo: la dirección informa al consejo (o comité equivalente) al menos anualmente sobre el estado de ciberseguridad y privacidad, y recibe orientación al respecto.
• Carta del consejo: el consejo dispone de un charter que documenta sus responsabilidades en materia de control interno.
• Competencias del consejo: el consejo tiene o adquiere las competencias necesarias (internas o mediante expertos externos) para supervisar los controles de seguridad de la información.
• Reuniones del consejo: el consejo se reúne al menos una vez al año, con actas formales y miembros independientes.
• Procesos de copia de seguridad: la política de backup documenta los requisitos de copia y recuperación de datos de clientes.
• Comunicación de cambios críticos: los cambios significativos en el sistema que puedan afectar al servicio se comunican a los clientes.
• Roles y responsabilidades definidos: la dirección define roles y responsabilidades para el diseño e implantación de controles de seguridad.
• Estructura organizativa documentada: se mantiene un organigrama con la estructura y líneas de reporte.
• Asignación de roles de seguridad: las responsabilidades de diseño, operación y monitorización de controles de seguridad se documentan en descripciones de puesto y/o políticas.
• Políticas de seguridad documentadas: las políticas y procedimientos de seguridad de la información se documentan y revisan al menos anualmente.
• Sistema de soporte externo: existe un sistema de soporte de cara al cliente para reportar incidencias, fallos o dudas.
• Comunicación de cambios internos: los cambios del sistema se comunican a los usuarios internos autorizados.
• Solicitudes de acceso requeridas: el acceso a componentes del sistema se basa en el rol y requiere solicitud/documentación con aprobación de responsable.
• Plan de respuesta a incidentes probado: el plan de respuesta a incidentes se prueba al menos una vez al año.
• Políticas de respuesta a incidentes: existen políticas y procedimientos documentados para la gestión de incidentes de seguridad y privacidad.
• Gestión de incidentes: los incidentes de seguridad y privacidad se registran, se siguen hasta su resolución y se comunican a las partes afectadas según la política.
• Procesos de acceso físico: se gestionan altas, cambios y bajas de acceso físico a centros de datos con autorización de los propietarios de los controles.
• Revisión de accesos al data center: el acceso a los centros de datos se revisa al menos anualmente.
• Compromisos de seguridad comunicados: los compromisos de seguridad se recogen en los contratos (MSA / TOS) con los clientes.
• Recursos de soporte externo: se proporcionan guías y recursos técnicos a los clientes sobre el funcionamiento y operación del sistema.
• Descripción de servicio: la empresa documenta la descripción de sus productos y servicios para usuarios internos y externos.
• Objetivos de evaluación de riesgos: se definen objetivos claros para poder identificar y evaluar riesgos asociados al servicio.
• Evaluaciones de riesgo: se realizan evaluaciones de riesgos al menos una vez al año, considerando amenazas, cambios regulatorios y tecnológicos, incluido el potencial de fraude.
• Programa de gestión de riesgos: existe un programa documentado que define cómo identificar amenazas, valorar riesgos y aplicar estrategias de mitigación.
• Acuerdos con terceros: se disponen de acuerdos escritos con proveedores y terceros que incluyen compromisos de confidencialidad y privacidad.
• Escaneos de vulnerabilidades: se realizan escaneos de vulnerabilidades al menos trimestralmente en sistemas externos y se monitoriza la remediación de vulnerabilidades críticas y altas.

Datos y privacidad

• Procedimientos de retención de datos: existen procedimientos formales de retención y eliminación segura de datos de la compañía y de clientes.
• Eliminación de datos de clientes al finalizar el servicio: los datos confidenciales de clientes se eliminan del entorno de la aplicación cuando dejan de usar el servicio.
• Política de clasificación de datos: se mantiene una política de clasificación para asegurar que los datos confidenciales se protegen y solo son accesibles por personal autorizado.